Strafverfolgungsbehörden Europas und Nordamerikas haben am 19.–20. Mai eine koordinierte Operation zur Zerschlagung von First VPN Service durchgeführt – eines VPN-Dienstes, der laut Europol gezielt für die Unterstützung von Cyberkriminellen geschaffen wurde. Nach Angaben des FBI nutzten mindestens 25 Ransomware-Gruppierungen, darunter Avaddon Ransomware, die Infrastruktur des Dienstes für Netzwerkaufklärung, Eindringversuche, großangelegten Betrug und Datendiebstahl. Im Rahmen der Operation wurden 33 Server sichergestellt, Domains beschlagnahmt sowie eine Durchsuchung in der Ukraine durchgeführt und der Administrator des Dienstes befragt.

Chronologie und Umfang der Operation

Die Ermittlungen begannen bereits im Dezember 2021. Die Operation wurde von Frankreich und den Niederlanden angeführt und von 16 Staaten unterstützt: Luxemburg, Rumänien, Schweiz, Ukraine, Vereinigtes Königreich, Kanada, Deutschland, USA, Spanien, Schweden, Dänemark, Estland, Lettland, Litauen, Polen und Portugal. Die aktive Phase fand am 19.–20. Mai statt und umfasste zeitgleiche Maßnahmen in mehreren Jurisdiktionen: eine Durchsuchung in der Ukraine, die Befragung des Administrators, die Abschaltung von 33 Servern und die Sicherstellung der Infrastruktur.

Laut einer Mitteilung von Eurojust wurden die Domains 1vpns[.]com, 1vpns[.]net, 1vpns[.]org sowie die dazugehörigen Onion-Domains im Tor-Netzwerk beschlagnahmt.

Technische Infrastruktur von First VPN

Nach Angaben einer Warnung des FBI war der Dienst etwa seit 2014 in Betrieb und verfügte über 32 Exit-Nodes in 27 Ländern. Drei dieser Knoten befanden sich in den USA.

Der Dienst bot eine breite Palette von Verbindungsprotokollen an: OpenConnect, WireGuard, Outline und VLess TCP Reality. Zu den Verschlüsselungsoptionen gehörten OpenVPN ECC, L2TP/IPSec und PPTP. Besonders hervorzuheben ist die Unterstützung der Protokolle VLESS und Reality, die es ermöglichen, VPN-Traffic als normalen HTTPS-Traffic über Standard-Webports zu tarnen, was die Erkennung durch Netzwerk-Monitoring-Systeme erheblich erschwert.

Der technische Support für Kunden erfolgte über einen selbst gehosteten Jabber-Server und den Messenger Telegram.

Indikatoren einer Kompromittierung

Die in der FBI-Warnung genannten IP-Adressen der Exit-Nodes auf US-Territorium:

• 2.223.66[.]103
• 5.181.234[.]59
• 92.38.148[.]58

Beschlagnahmte Domains:

• 1vpns[.]com
• 1vpns[.]net
• 1vpns[.]org

Der Dienst wurde auf russischsprachigen cyberkriminellen Foren wie Exploit[.]in und XSS[.]is als Werkzeug zur Umgehung der Strafverfolgungsbehörden beworben.

Geschäftsmodell des kriminellen Dienstes

First VPN arbeitete mit einem Abonnementmodell und flexiblen Tarifen: von 2 US-Dollar für einen Tag bis zu 483 US-Dollar für ein Jahr. Die Bezahlung war über Bitcoin, Perfect Money, Webmoney, EgoPay und InterKass möglich – ein Satz von Bezahlsystemen, der typisch für den Schattenbereich des Internets ist, in dem die Anonymität von Transaktionen Priorität hat.

Der Dienst positionierte sich mit dem Slogan „Anonymität, Stabilität, Sicherheit“ und warb damit, keine Logs zu führen, IP-Adressen nicht mit konkreten Nutzern verknüpfen zu können und grundsätzlich nicht mit irgendwelchen Justizbehörden zu kooperieren. Gleichzeitig enthielt das FAQ einen Hinweis auf ein „striktes Verbot“ der Nutzung der Server für illegale Aktivitäten – ein offensichtlicher juristischer Puffer, der jedoch nicht durch eine tatsächliche Kontrolle untermauert war.

Bedrohungskontext und Bedeutung der Operation

Die Zerschlagung von First VPN setzt eine Reihe internationaler Operationen zur Beseitigung von Infrastrukturen fort, die das Ökosystem von Ransomware-Programmen unterstützen. Die Aussage des FBI, dass mindestens 25 Ransomware-Gruppierungen den Dienst nutzten, weist auf die Rolle von First VPN als einem der zentralen Elemente der Infrastrukturschicht hin, die die Anonymität der Angreifer sicherstellt. Unter den genannten Nutzern befindet sich die Gruppierung Avaddon Ransomware, auch wenn die vollständige Liste der Gruppen und die bestätigenden Beweise in den offenen Materialien nicht offengelegt werden.

Die zehnjährige Betriebsdauer des Dienstes (seit 2014) und seine Präsenz in 27 Ländern zeigen, wie tief solche kriminellen Dienste in die globale Netzwerkinfrastruktur eingebettet sind. Der Einsatz fortschrittlicher Traffic-Tarnprotokolle wie VLESS und Reality macht deutlich, dass Betreiber krimineller Dienste legitime Technologien zur Zensurumgehung aktiv für Zwecke der Cyberkriminalität adaptieren.

Praktische Empfehlungen

• Überprüfung der Netzwerkl logs: Organisationen sollten historische Aufzeichnungen des Netzwerkverkehrs auf Verbindungen zu den genannten IP-Adressen (2.223.66[.]103, 5.181.234[.]59, 92.38.148[.]58) und den Domains 1vpns[.]com/net/org prüfen. Der Fund solcher Verbindungen kann auf eine Kompromittierung hinweisen.
• Monitoring von getarntem Traffic: Achten Sie auf anomalen HTTPS-Traffic, der ein getarntes VPN über die Protokolle VLESS/Reality sein könnte. Deep Packet Inspection und die Analyse von Verbindungsprofilen helfen, solche Aktivitäten aufzudecken.
• Aktualisierung von Blockierregeln: Ergänzen Sie die genannten Indikatoren einer Kompromittierung in SIEM-, IDS/IPS-Systeme und Firewalls.
• Analyse von Abonnements: Wenn in der Organisation Hinweise auf eine Nutzung von First VPN gefunden werden, ist dies Anlass für eine umfassende Incident-Analyse, da der Dienst direkt mit der Aktivität von Ransomware-Gruppierungen verbunden war.

Die Zerschlagung von First VPN nimmt Dutzenden kriminellen Gruppierungen ein etabliertes Anonymisierungswerkzeug, beseitigt jedoch nicht die Nachfrage nach solchen Diensten. Organisationen sollten die veröffentlichten Indikatoren einer Kompromittierung für eine retrospektive Analyse des Netzwerkverkehrs nutzen und der Erkennung getarnter VPN-Verbindungen Priorität einräumen – genau diese Technik, umgesetzt über VLESS und Reality, wird in Angriffen zunehmend eingesetzt werden, unabhängig vom Schicksal dieses konkreten Dienstes.